1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Intel aes ni bios

intel aes ni bios

Рассмотрим настройки BIOS бюджетного ноутбука ASUS X550LA (90NB02F2-M00140).
Закладка Main (Главная). Здесь прописана информация о BIOS (AMI), установленном энергоэффективном процессоре Intel Core i3-4010U, объеме оперативной памяти, серийном номере, системных дате и времени, и установленном уровне доступа.

Закладка Advanved (Расширенные). Здесь есть настройки загрузки, возможность включения/отключения дополнительный опций процессора: Intel Virtualization Technology, Intel AES-NI, VT-d. Доступ к настройкам SATA, интегрированой графики, USB, сетевых настроек и т.д.

Раздел SATA Mode Selection, на первом порте у нас висит жесткий диск HGST HTS545050A7E680, на втором DVD оптический привод: HL-DT-ST DVDRAM GU71N производства Hitachi-LG Data Storage. Работа в режиме AHCI.

Закладка Boot (Загрузка). Здесь можно включить/отключить быструю загрузку (Fast Boot). Launch CSM (Launch Compatibility Support Module) – активация режима совместимости, по-умолчанию выключен. Есть включить/отключить быструю загрузку, выбрать/добавить/удалить опцию загрузки.

Закладка Security (Секретность). В данном разделе можно установить пароль на вход, для жесткого диска: для пользователей и администратора.
Для установки операционной системы Windows 7 вместо предустановленной Windows 8, необходимо в разделе Security отключить Secure Boot menu, и затем в разделе Boot включить Launch CSM > Enabled.
Launch CSM (Launch Compatibility Support Module) это «Модуль поддержки запуска в режиме совместимости». Выбор Enabled – активирует специальный режим расширенной совместимости. Этот режим позволяет загружаться и устанавливать различные версии более старых операционных систем, к которым уже можно отнести и Misrosoft Windows 7.

Раздел Save & Exit (Сохранить и выйти). Имеет стандартные параметры: Save Changes and Exit – сохранить изменения и выйти, Discard Changes and Exit – сбросить настройки и выйти.

  1. Простой компьютерный блог для души)
  2. Intel AES-NI что это в биосе? : 4 комментария
  3. Зачем её активировать
  4. Как включить функцию в BIOS
  5. Заключение

Для реализации одного раунда шифрования используется инструкция AESENC, которая выполняет следующие действия:

Последний раунд шифрования реализуется при помощи инструкции AESENCLAST:

Отличие этой инструкции от AESENC состоит в том, что операция MixColums на последнем шаге не выполняется:

Как я узнать, что процессор имеет набор команд AES / AES-NI?

Чтобы узнать тип процессора и тип архитектуры:

Введите следующую команду, чтобы убедиться, что в процессор установлена инструкция AES и включена в BIOS:

Вывод команды aes означает, что у меня поддержка AES-NI включена на Linux.

Пустой вывод означает, что поддержка AES отключена

Как я могу проверить, что все мои процессоры поддерживают AES NI?

Результат выполнения следующих двух команд должен быть такой же:

Включен Intel AES-NI для OpenSSL?

Результат команды для VIA, если AES поддерживается

Результат команды на Intel, с поддержкой AES-NI

Тест: AES-NI процессоров против процессора без поддержки AES-NI / Packlock

В этом примере, SERVERA имеет AES-NI и SERVERB не имеет поддержку аппаратного шифрования:

Тест: Производительность OpenSSL?

Опять выполните следующие команды на обоих системах:

Популярные Linux или Unix / BSD приложения, которые лучше работают с AES-NI с высокой скоростью шифрования / дешифрования:

  • dm-crypt шифрование диска
  • 7-Zip приложение.
  • Chrome Google и Firefox браузеров
  • Во FreeBSD OpenCrypto API т.е. AESNI драйвер ZFS и других файловых систем.
  • OpenSSL 1.0.1 и выше.
  • TrueCrypt 7.0 и выше или VeraCrypt.
  • Citrix XenClient 1.0 и выше.
  • GCC 4.4+, Intel C / C ++ компилятор 11.1+, Clang 3.3+ и более.
  • Библиотеки для golang, Java, СНБ, OpenSSL и более.
  • Linux и BSD брандмауэры и VPN особенно легко использовать pfsense, IPCop и более.
  • Операционная система на базе Linux, * BSD, Unix, Microsoft, Android, IOS, Apple OS X и более.

Как я узнать, что процессор имеет набор команд AES / AES-NI?

Чтобы узнать тип процессора и тип архитектуры:

Введите следующую команду, чтобы убедиться, что в процессор установлена инструкция AES и включена в BIOS:

Вывод команды aes означает, что у меня поддержка AES-NI включена на Linux.

Читать еще:  Что значит ограниченный доступ Wifi

Пустой вывод означает, что поддержка AES отключена

Как я могу проверить, что все мои процессоры поддерживают AES NI?

Результат выполнения следующих двух команд должен быть такой же:

Включен Intel AES-NI для OpenSSL?

Результат команды для VIA, если AES поддерживается

Результат команды на Intel, с поддержкой AES-NI

Тест: AES-NI процессоров против процессора без поддержки AES-NI / Packlock

В этом примере, SERVERA имеет AES-NI и SERVERB не имеет поддержку аппаратного шифрования:

Тест: Производительность OpenSSL?

Опять выполните следующие команды на обоих системах:

Популярные Linux или Unix / BSD приложения, которые лучше работают с AES-NI с высокой скоростью шифрования / дешифрования:

  • dm-crypt шифрование диска
  • 7-Zip приложение.
  • Chrome Google и Firefox браузеров
  • Во FreeBSD OpenCrypto API т.е. AESNI драйвер ZFS и других файловых систем.
  • OpenSSL 1.0.1 и выше.
  • TrueCrypt 7.0 и выше или VeraCrypt.
  • Citrix XenClient 1.0 и выше.
  • GCC 4.4+, Intel C / C ++ компилятор 11.1+, Clang 3.3+ и более.
  • Библиотеки для golang, Java, СНБ, OpenSSL и более.
  • Linux и BSD брандмауэры и VPN особенно легко использовать pfsense, IPCop и более.
  • Операционная система на базе Linux, * BSD, Unix, Microsoft, Android, IOS, Apple OS X и более.

Как включить функцию в BIOS

Делается это в несколько нажатий кнопок на клавиатуре. Помните, что AES-NI работает только на процессорах от компании Intel. Также стоит проверить поддержку этой технологии вашим ЦП на официальном сайте производителя. Инструкция по включению:

  1. После включения компьютера, зайдите в его меню базовой системы ввода/вывода.
  2. Перейдите во вкладку «Advanced». В ней найдите строку «Intel AES-NI» и установите значение «Enabled».
  3. Сохраните применённые установки и дождитесь загрузки операционной системы.

Для реализации одного раунда шифрования используется инструкция AESENC, которая выполняет следующие действия:

Последний раунд шифрования реализуется при помощи инструкции AESENCLAST:

Отличие этой инструкции от AESENC состоит в том, что операция MixColums на последнем шаге не выполняется:

Безболезненное шифрование: Intel Advanced Encryption Standard New Instructions (AES-NI)

С повышением уровня использования вычислительных устройств, проникающих во все сферы нашей жизни на работе и дома, необходимость в шифровании стала еще более важной. Настольные компьютеры, ноутбуки, смартфоны, КПК, плееры Blue-ray и многие другие устройства связывает такая необходимость в способности шифровать конфиденциальные данные. Без шифрования все, что вы посылаете по сети (или даже храните на локальном устройстве хранения) находится в открытом состоянии, и любой может прочесть эту информацию в любое время. Конечно, управление доступом/разрешения обеспечивают некоторую защиту, но когда вы серьезно настроены относительно безопасности, шифрование должно быть частью вашей многоуровневой стратегии безопасности. Хотя некоторые могут решить, что им нечего скрывать, суть в том, что информация, которая, по-вашему, не представляет никакой ценности, может быть использована самыми удивительными способами теми людьми, которые и не намереваются соблюдать ваши интересы. Так в сегодняшнем деловом мире шифрование, особенно, должно считаться естественным положением дел, а не дополнительной необязательной опцией.

Важность шифрования

Подумайте о тех ситуациях, в которых шифрование используется (или должно использоваться) в вашей повседневной жизни:

  • Когда вы включаете ноутбук и автоматически подключаетесь к своей беспроводной точке доступа, вы, вероятно, используете WPA для шифрования и AES в качестве алгоритма шифрования.
  • Когда вы подключаетесь к защищенному веб сайту, чтобы поделиться информацией или приобрести какие-то продукты, это SSL соединение представляет собой зашифрованный сеанс, который разработан для обеспечения того, чтобы ваши конфиденциальные данные не были доступны остальному миру.
  • Когда ваш ноутбук использует BitLocker для шифрования информации на диске, если он украден, вся информация на его дисках не станет «достоянием общественности».
  • Когда вы создаете IPsec VPN подключение или IPsec DirectAccess подключение к сети своей компании, это IPsec подключение защищено с помощью AES шифрования

Есть еще масса примеров, но вполне очевидно, что шифрование, и AES в особенности, является неотъемлемой частью компьютерной жизни, независимо от того знаете вы об этом или нет.

Будучи сетевым администратором вы знаете, что шифрование является критической частью вашей внутренней инфраструктуры. Хакеров больше не интересует возможность положить всю вашу сеть, как это было раньше. Почему? Потому что на таких атаках по всей организации не заработаешь денег. С применением все более и более суровых наказаний за незаконную хакерскую деятельность, большинство хакеров больше не занимаются этим исключительно ради интереса. Вместо этого сегодняшний хакер представляет собой незаконного предпринимателя, который хочет заработать денег. Одним из способов сделать это является компрометация ключевых серверов и замалчивание этого факта. Хакер хочет украсть информацию, которую можно выгодно продать, например, базы данных, наполненные личной информацией или секретами компании. Хакер обычно не может сделать деньги, если прервет работоспособность сервера, и не сможет сделать денег, если вы будете в курсе, что он там, и вы можете остановить его до того, как он получит желаемое. Таким образом, вам нужно использовать шифрование внутренней части инфраструктуры в качестве защитного механизма «на крайний случай», чтобы не позволить хакерам получить доступ к важной информации.

Читать еще:  Как узнать поддерживает ли смартфон otg

Шифрование также является важной частью регламента соответствия повседневных задач ИТ; например следующие положения все включают шифрование, как часть своих стандартов:

  • HIPAA (Health Insurance Portability and Accountability Act)
  • SOX (Sarbanes-Oxley)
  • PCI DSS (Payment Card Industry Data Security Standard)

AES: Новый стандарт

AES является текущим стандартом шифрования, используемым правительством США, и он пришел на смену предыдущему стандарту, тройному DES, который использовал стандартный 56-bit ключ. AES может использовать ключи различной длины, которые характеризуются как AES-128, AES-192 и AES-256. В зависимости от длины ключа может быть до 14 циклов трансформации, необходимой для создания конечного зашифрованного текста.

AES также имеет несколько режимов работы:

  • electronic codebook (ECB)
  • cipher block chaining (CBC)
  • counter (CTR)
  • cipher feedback (CFB)
  • output feedback (OFB)

Цепочка зашифрованных блоков (Cipher block chaining) является самым распространенным режимом, поскольку он предоставляет приемлемый уровень безопасности и не подвержен уязвимости статистических атак.

Трудности: безопасность vs. производительность

Основной проблемой с такими продвинутыми методами шифрования, как AES с CBC является то, что они потребляют много ресурсов процессора. Это особенно касается серверов, но может создавать проблемы и для загруженных клиентских систем, поскольку на них устанавливаются менее мощные процессоры. Это означает, что вы можете оказаться перед выбором: более высокая степень защиты против высокого уровня производительности вашей системы. Эта ситуация может быть настолько проблематичной на стороне сервера, что такие способы обхода этих проблем, как SSL или IPsec карты разгрузки (карты разгрузки шифрования) используются для снижения уровня нагрузки на процессор и позволяют процессору выполнять и другую работу помимо создания сеансов и шифрования.

Проблема с добавляемыми картами заключается в том, что они зависят от приложений и могут не работать, в зависимости от того, для каких целей вы хотите использовать их. Нам нужно общее решение, которое будет работать во всех сценариях шифрования AES, чтобы не нужно было делать ничего специально для разгрузки задачи шифрования центрального процессора. Нам нужно решение ‘plug and play’, которое было бы встроено в ОС и материнскую плату.

Intel AES-NI приходит на помощь

Если вы согласитесь с этим, то есть несколько хороших новостей для вас ‘ новый набор инструкций Intel AES-NI, который в настоящее время доступен в процессорах серии Intel Xeon5600, отвечает этим критериям. Ранее этот процессор был известен под своим кодовым названием Westmere-EP. AES-NI выполняет некоторые шаги AES на аппаратном уровне, прямо в микросхеме процессора. Однако вы должны знать, что AES-NI на процессоре не включает полный процесс реализации AES, лишь некоторые компоненты, необходимые для оптимизации производительности. AES-NI делает это путем добавления шести новых AES инструкций: четыре из них для шифрования/ расшифровки, одна для колонки ‘mix’ (смешивание), и одна для генерирования текста следующего цикла ‘next round’ (где количество циклов контролируется длиной бит, выбранных вами).

Одним из замечательных моментов в Intel AES-NI заключается то, что, поскольку она построена на базе аппаратных средств, нет необходимости хранить в памяти таблицы просмотра, а блоки шифрования выполняются в процессоре. Это снижает шансы успешности атак сторонних каналов (‘side channel attacks’). К тому же, Intel AES-NI позволяет системе выполнять ключи большей длины, в результате чего данные более надежно защищены.

На настоящий момент Intel AES-NI концентрируется в основном на трех моментах:

  • Защищенные транзакции через интернет и в интрасети
  • Полное шифрование диска (например, как в случае с Microsoft BitLocker)
  • Шифрование прикладного уровня (часть защищенной транзакции)

Защищенные транзакции по интернету и интрасети могут включать использование SSL для подключения к защищенному веб сайту в интрасети или интернете. Вдобавок, IPsec туннельный и транспортный режим пользуются все большей популярностью для защиты сеансов в интрасети, а в случае с DirectAccess в интернете. Следует учитывать, что SSL используется для защиты коммуникаций уровня 7, а IPsec используется для защиты коммуникаций сетевого (третьего) уровня.

Читать еще:  FXAA или SMAA что лучше

В последнее время можно было слышать, что компьютерное облако становится следующим большим прорывом в компьютерном мире, и поставщики услуг компьютерного облака значительно выиграют от Intel AES-NI, где большинство их коммуникаций будет осуществляться через зашифрованный канал. Что касается IPsec, если с сервером есть всего несколько IPsec соединений, то будет вполне достаточно и разгрузки SSL. Но если ваш сервер загружен, Intel AES-NI в отдельности или в сочетании с SSL разгрузкой будет более подходящим решением.

К тому же, здесь есть компонент транзакции (‘secure transactions’). Вдобавок к шифрованию прикладного или сетевого уровня, есть шифрование прикладного уровня, которое использует Intel AES-NI. Например:

  • Базы данных можно шифровать
  • Почту можно шифровать
  • Службы управления правами используют шифрование
  • Сама файловая система может быть зашифрована (в отличие от шифрования на дисковом уровне).
  • Такие приложения, как Microsoft SQL могут использовать шифрование Transparent Data Encryption (TDE) для автоматического шифрования записей, внесенных в базу данных.

В конечном счете получается, что Intel AES-NI может значительно ускорить время транзакций и сделать покупателей более счастливыми, а сотрудников более продуктивными.

Полное шифрование диска зашифровывает диск полностью за исключением MBR. Вдобавок к Microsoft BitLocker, есть ряд других приложений шифрования диска, которые могут использовать Intel AES-NI, например PGPdisk. Проблема с полным шифрованием диска заключается в том, что оно может вызывать снижение производительности, в результате чего пользователи могут отказываться от использования данного метода шифрования. С Intel AES-NI это воздействие на производительность практически исчезает, и пользователи более охотно будут включать полное шифрование диска и использовать его преимущества.

Улучшение производительности

Так какие улучшения производительности мы на самом деле увидим с Intel AES-NI? Пока что трудно сказать точно, что данная технология может нам предложить, поскольку она довольно новая. Но компания Intel провела ряд собственных испытаний, результаты которых радуют:

  • При работе с банковскими интернет услугами на Microsoft IIS/PHP сотрудники компании обнаружили, что, сравнивая две системы на базе Nehalem, одна с шифрованием и одна без, был прирост в 23% пользователей, которых можно поддерживать на этой системе. Когда система Nehalem с шифрованием сравнивалась с non-Nehalem системой, улучшение в количестве поддерживаемых пользователей составило 4.5 раза. Это поразительные результаты!
  • В тесте шифрования / расшифровки базы данных Oracle 11g сотрудники компании обнаружили, что при сравнении двух Nehalem систем, одна с включенным шифрованием, другая — нет, система с включенным шифрованием показала 89% снижения времени на расшифровку 5.1 миллионов строк зашифрованной таблицы. Также наблюдалось 87% снижение времени на зашифровку таблиц типа OLTP и повторную вставку и удаление одного миллиона строк.
  • Полное шифрование диска может занимать массу времени для начального шифрования диска. Компания Intel обнаружила, что при шифровании Intel 32 ГБ SDD диска в первый раз с помощью шифрования конечной точки McAfee для ПК наблюдалось снижение времени первого заполнения на 42%. Это просто поразительная разница, которую вы определенно ощутите, если вам до этого доводилось ждать окончание процесса полного шифрования диска в первый раз.

Заключение

Шифрование теперь является требованием практически для всех в повседневной жизни. AES – это новый стандарт шифрования. Хотя шифрование позволяет нам защищать данные, оно может вызывать значительное потребление ресурсов и снижение производительности, а иногда оно может просто не позволять процессору выполнять остальные задачи, которые нам нужны. В прошлом с этой проблемой можно было справиться путем перехода на более мощный процессор или путем добавления процессоров, а также с помощью использования решений разгрузки. Однако все эти подходы имели встроенные ограничения. Новый стандарт Intel AES-NI значительно повышает производительность и безопасность путем перевода 6 новых инструкций, связанных с AES, на микросхему процессора. Это обеспечивает повышение производительности и безопасности в ряде ситуаций, таких как защищенные сети и сеансы прикладного уровня, защищенные транзакции и полное шифрование диска с минимальным воздействием или с полным отсутствуем такового на весь процесс использования. Intel AES-NI должен стать частью любого плана установки клиентских и серверных систем, в которых шифрование будет интенсивно использоваться, например когда DirectAccess подключается к корпоративной сети. Сочетание Nehalem архитектуры и технологии Intel AES-NI обещает коренным образом изменить компьютерный мир и улучшить работу пользователей и администраторов наряду с улучшением производительности.

Для дополнительной информации о процессорах серии Intel Xeon 5600 с Intel AES-NI перейдите по следующей ссылке.

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector